sshで公開鍵ごとにコマンド制限する際の注意点2 - 技術メモ帳
公開鍵認証でコマンドを制限していても パスワード認証の際には、 自由にコマンドを実行できてしまうということに 十分注意することが必要である。 クライアントで以下のように 公開鍵認証を no にすることによって、 明示的にパスワード認証にすることが出来る。 (これはデフォルトの設定の場合) $ ssh -oPubkeyAuthentication=no user@remote_host Password: したがって、パスワードを総当たり攻撃されたときに シェルを奪われてしまう可能性というのが少なからず存在する。 それがいやなのであれば、/etc/sshd_config で PasswordAuthentication を no にしておくと良いかも知れない。
sshで公開鍵ごとにコマンド制限する際の注意点1 - 技術メモ帳
を書くのを忘れていたので一応書いておく。 command="任意のコマンド" としておくと、任意のコマンドしか実行できない 公開鍵を作れるというのは前に書いたが、 そのときに、$SSH_ORIGINAL_COMMAND という環境変数を利用すれば、 動的に処理を切り分けることが出来る。 以下はその例である。 command="cat $SSH_ORIGINAL_COMMAND" このようにしておけば、 ssh user@remote_host "/var/log/messages" これで、任意のファイルをcatするだけの公開鍵ができる。 …ように思われるが、$SSH_ORIGINAL_COMMAND の部分を うまい具合に調節すれば、悪意あるコマンドを注入することが出来てしまう。 試しに、バッククオート演算子を利用して uptime を実行してみた。 $ ssh user@remote_
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
void GraphicWizardsLair( void ); //
